📖 3 min de lecture · Mis à jour le 23/01/2026

Chaque mois, plus de 2 000 nouvelles vulnérabilités sont publiées. Sans processus de gestion structuré, votre infrastructure accumule des failles exploitables qui sont autant de portes d’entrée pour les attaquants.

Qu’est-ce que la gestion des vulnérabilités ?

La gestion des vulnérabilités est un processus continu qui consiste à identifier, évaluer, prioriser et corriger les failles de sécurité dans votre infrastructure (serveurs, postes, applications, équipements réseau).

Ce n’est pas un audit ponctuel mais un cycle permanent : les nouvelles vulnérabilités apparaissent quotidiennement, et votre environnement évolue en continu (nouveaux logiciels, mises à jour, changements de configuration).

Phase 1 : Scanner votre infrastructure

Le scan de vulnérabilités utilise des outils automatisés qui interrogent vos systèmes pour détecter les failles connues (CVE). Les scanners comparent les versions de vos logiciels avec les bases de vulnérabilités publiques.

Outils courants :

  • Nessus/Tenable : le standard de l’industrie, complet et fiable
  • Qualys : solution cloud, idéale pour les environnements distribués
  • OpenVAS : alternative open source gratuite, moins complète mais fonctionnelle

Planifiez des scans hebdomadaires pour les systèmes critiques et mensuels pour le reste de l’infrastructure. Les scans doivent couvrir l’interne et l’externe.

Phase 2 : Prioriser les failles

Un scan révèle souvent des centaines voire des milliers de vulnérabilités. Impossible de tout corriger simultanément. La priorisation est essentielle.

Le score CVSS (Common Vulnerability Scoring System) évalue la gravité de chaque faille de 0 à 10. Mais le CVSS seul ne suffit pas : une faille CVSS 9.8 sur un serveur isolé en DMZ est moins urgente qu’une faille CVSS 7.5 sur votre Active Directory exposé.

Priorisez selon ces critères :

  • Exploitabilité : un exploit public existe-t-il ? Est-il activement exploité (KEV) ?
  • Exposition : le système est-il accessible depuis internet ?
  • Criticité de l’actif : quel est l’impact business si ce système est compromis ?
  • Facilité de correction : un patch est-il disponible ? La correction nécessite-t-elle un redémarrage ?

Phase 3 : Corriger et vérifier

La correction peut prendre plusieurs formes : patch logiciel (mise à jour), changement de configuration, désactivation d’un service vulnérable, ou mise en place d’un contrôle compensatoire (règle de pare-feu).

Définissez des SLA de correction selon la criticité :

  • Critique (CVSS 9-10) : correction sous 48h
  • Haute (CVSS 7-8.9) : correction sous 7 jours
  • Moyenne (CVSS 4-6.9) : correction sous 30 jours
  • Basse (CVSS 0-3.9) : correction sous 90 jours ou acceptation du risque

Après correction, rescannez pour vérifier que la faille est effectivement comblée. Les corrections incomplètes ou mal appliquées sont courantes.

Intégrer la gestion des vulnérabilités dans votre routine

La gestion des vulnérabilités n’est pas un projet mais un processus continu. Intégrez-la dans votre routine IT : scans réguliers, revue hebdomadaire des failles critiques, suivi des corrections, et reporting mensuel à la direction.

Odyssix propose un service de gestion des vulnérabilités managé pour les PME. Contactez-nous pour un premier scan gratuit.

OX
Rédigé par
Odyssix
Experts en cybersécurité, hébergement et infrastructure IT · Odyssix accompagne les PME françaises depuis plus de 10 ans dans leur transformation digitale.
Questions fréquentes
3 questions

Les scans modernes sont conçus pour être non intrusifs. Cependant, certains équipements anciens ou sensibles peuvent réagir négativement à un scan intensif. C'est pourquoi les scans sont planifiés en heures creuses et les équipements fragiles sont exclus ou scannés avec précaution.

Le scan est automatisé et identifie les failles connues (CVE). Le pentest est manuel : un expert exploite réellement les failles et teste des scénarios d'attaque complexes. Le scan est un outil de routine, le pentest est un exercice ponctuel plus approfondi. Les deux sont complémentaires.

Une infrastructure de PME typique présente entre 200 et 1000 vulnérabilités à un instant T. L'important n'est pas d'atteindre zéro (impossible) mais de traiter rapidement les failles critiques et de maintenir un trend de réduction. Concentrez-vous sur les vulnérabilités activement exploitées.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter